Тъй като смартфоните вече рядко разполагат с жакове за слушалки, милиарди потребители трябва да разчитат на Bluetooth слушалки за своите аудио нужди. В миналото това е било сигурно като метод, защото така например между телефона и слушалките има криптирана връзка.

Френски екип от EURECOM обаче е открил съществен недостатък в сигурността между две устройства, свързани чрез Bluetooth. Както за пръв път беше забелязано от Bleeping Computer, публикуваният документ за този пробив показва сравнително прост метод за атака с груба сила на BT ключовете за криптиране между две устройства. Ако успее, нападателят може да подмени устройствата и да получи достъп до потенциално чувствителни данни.

Изглежда, че този експлойт работи поне частично на всяко устройство, използващо Bluetooth 4.2 или по-нова версия. За сведение поддръжката на Bluetooth 4.2 започна в края на 2014 г., така че повечето аспекти на тази атака теоретично биха работили на почти всяко съвременно Bluetooth устройство.

Екипът раздели атаките на шест различни стила, като за обобщаване на всички тях беше използван акронимът BLUFFS. Като част от публикувания документ екипът на EURECOM - ръководен от Даниеле Антониоли - показа таблица с устройствата, които са успели да подменят с помощта на тези атаки, и колко успешен е бил всеки от шестте типа. Таблицата е, меко казано, отрезвяваща:


За щастие Антониоли и колегите му са много открити за своите открития. Екипът има страница в GitHub с много информация за всеки, който се интересува.

Междувременно Bluetooth Special Interest Group (SIG), агенцията с нестопанска цел, която контролира разработването на стандарта, потвърди констатациите на EURECOM. В бюлетин за сигурност Bluetooth SIG предлага на производителите на оригинално оборудване, които внедряват технологията Bluetooth в продукти, да спазват стриктни протоколи за сигурност, за да предотвратят тази атака. В него обаче не се споменава дали предстоящите версии на Bluetooth ще коригират този експлойт. Най-новият стандарт BT е v5.4, който беше пуснат на пазара през февруари.

Снимка: Unsplash

Виж още: AI може да превърне в реалност 4-дневната работна седмица

 

Тагове: